Nel corso del primo semestre del 2024, il mondo della sicurezza informatica è stato testimone della di diverse campagne di distribuzione del loader malware noto come FakeBat.
I ricercatori di Sekoia Threat Detection & Research (TDR) hanno esposto le tecniche di distribuzione e l’infrastruttura degli avversari legati a questo loader, che è stato uno dei più diffusi ad utilizzare la tecnica del drive-by download. FakeBat, conosciuto anche come EugenLoader o PaykLoader, è stato principalmente impiegato per scaricare ed eseguire payload di seconda fase, come IcedID, Lumma, Redline, SmokeLoader, SectopRAT e Ursnif. L’analisi Sekoia ha rivelato che le ultime campagne di distribuzione di FakeBat hanno sfruttato pagine di landing che imitavano siti web di software popolari e si diffondevano tramite malvertising, falsi aggiornamenti del browser su siti web compromessi e schemi di ingegneria sociale sui social network.
FakeBat
In realtà questo loader non è nuovo ma è emerso per la prima volta nel dicembre 2022, quando il threat actor noto come Eugenfest (Payk_34) ha iniziato a vendere FakeBat come Loader-as-a-Service sul forum Exploit. FakeBat si presentava in formato MSI vantando diverse caratteristiche anti-rilevamento, come il bypass delle politiche di software indesiderato di Google e degli avvisi di Windows Defender.
Nel settembre 2023, gli operatori di FakeBat avrebbero inoltre introdotto il formato MSIX per le loro build di malware, aggiungendo una firma digitale valida per eludere le funzionalità di sicurezza di Microsoft SmartScreen. Queste mosse hanno reso FakeBat un prodotto ancora più attraente per i cybercriminali, con prezzi che variano dai $1,000 a settimana fino ai $5,000 al mese per il pacchetto più completo. Inoltre, nel maggio 2024, è stata scoperta una campagna che ha preso di mira la comunità web3, distribuendo FakeBat sotto forma di una falsa applicazione di chat web3 chiamata getmess[.]io. Gli attaccanti hanno utilizzato un sito web dedicato, profili social media verificati e video promozionali per diffondere il malware.
Una catena d’infezione tipica
Ecco un esempio di una catena di infezione FakeBat tipica che sfrutta il malvertising e che è stata osservata da Sekoia TDR il 30 maggio 2024:
- Il sito web “ hxxps://amydlesk[.]com/” visualizza una copia della home page del software desktop remoto AnyDesk.
- Il pulsante di download reindirizza a ” hxxps://amydlesk[.]com/download/dwnl.php “.
- Scarica FakeBat da “ hxxps://monkeybeta[.]com/build/AnyDesk-x86.msix ” (MD5: 4f2e138b6891395a408368a9a5998304 ).
- Eseguendo il file MSIX, viene eseguito lo script PowerShell “ iiu.ps1 ” che comunica con il server FakeBat C2 “ hxxps://utr-jopass[.]com/buy/ ” e scarica il payload della fase successiva.
In conclusione
La scoperta e l’analisi di FakeBat da parte di Sekoia rappresentano un importante contributo alla lotta contro le minacce informatiche. La condivisione di queste informazioni aiuta le organizzazioni a proteggersi da una delle tecniche di distribuzione di malware più insidiose e prevalenti del nostro tempo (drive-by download).
I ricercatori Sekoia hanno condiviso gli IoC e regole YARA per monitorare la distribuzione di FakeBat e le infrastrutture C2. Queste informazioni sono fondamentali per la comunità della sicurezza informatica per rilevare e contrastare le minacce associate a questo loader.